パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ」記事へのコメント

  • by Anonymous Coward

    DBにしても何にしても既存のものを使うと新たな脆弱性発見などですぐに攻撃対象になってしまう。
    用途にもよるけどたいしたものじゃなければ完全に無からの独自実装してしまったほうがいいから、できるだけそうしてる。
    独自の脆弱性があるだろうけど突かれる恐れが低いし安全。

    • by Anonymous Coward on 2020年07月28日 17時17分 (#3860338)

      例えばXSS脆弱性なんて「有りもの」から探すんじゃなくて、ほとんどは独自実装から見つけ出すもの。
      だから無限に沸いて出てくるし、それを食い扶持にするバグバウンティも成り立っている。
      独自実装は無差別攻撃には強いかもしれないけどターゲット攻撃には弱くていいのか? という問題でもあるので単純比較は難しい。

      親コメント
      • by Anonymous Coward

        XSSのようなものは既存でも独自でも対策しておく必要がある。その手間はどちらを使っていても変わらないよ。

        既存のものだとそれに加えてシステムの脆弱性修正が加わる。この存在が非常にやっかい。なにせどこに弱点があるのかが世界中に公開されてしまい誰でも攻撃に使えるから。常に最新情報を追って修正しないといけない。
        独自だとシステムの脆弱性があってもその情報が出回らないからそれを使われる可能性が少ない。

        • by Anonymous Coward

          とりあえず、HTTPとHTMLを使うのをやめることから始めようか。

          • by Anonymous Coward

            TCP/IPとか公共網を使うのをやめるのも重要

        • by Anonymous Coward

          独自のものだとそれに加えて自分でコードを修正しなきゃいけない。この存在が非常にやっかい。なにせソースやドキュメントは作った当人らの頭の中にしかないので他の誰も修正できないから。常に現状ありのままのコードを追って修正しないといけない。
          独自でも見つかった脆弱性の情報は容赦なくexploit-db.comで出回るので修正しないわけにはいかない。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...